Sicherheitslücke HR
Cyberattacken erfolgen meist über HR-Abteilungen: Warum das so ist, wie diese Vorfälle minimiert werden können und mit welchen Methoden Cyberkriminelle vorgehen.
HR Tech Club – meet the future. (Bild: HR Today)
Cyberattacken auf Infrastrukturen oder Firmen nehmen zu. Beispielsweise in den USA, wo eine Hacker-Attacke eine Mineralöl-Pipeline während einer Woche lahmlegte. Auch die Schweiz bleibt nicht verschont: Durch ein Datenleck bei der Armee wurden 250 000 Datensätze publik. Solche Angriffe betreffen auch kleinere Unternehmen, von denen man aber selten in den Medien liest. Solange das für Hacker profitabel ist, werden solche Angriffe vorkommen. Darauf deuten auch verschiedene Statistiken hin: etwa die des Nationalen Zentrums für Cybersicherheit der Schweiz (NCSC). Die gemeldeten Cyberattacken nahmen im ersten Halbjahr um 85 Prozent zu. Im Januar 2021 entfielen 3,6 Prozent der global geblockten Malware-Angriffe auf die Schweiz, im Juni waren es schon 4,3 Prozent. Das heisst, ein bösartiges Computerprogramm, das ungewollte Kommandos ausführt und dadurch Passwörter stiehlt, das E-Mails ausliest oder Dokumente löscht. Ransomware-Angriffe, bei denen eine Malware Dateien auf einem Computer verschlüsselt und diese nur gegen ein Lösegeld entschlüsselt, stiegen in Europe gar um 8 Prozent.
Cyberattacken betreffen meist das ganze Unternehmen und nicht nur die Personalabteilung. Das HR steht jedoch häufig im Fokus der Angreifer, weil es viel mit externen Personen kommuniziert und Zugriff auf persönliche Informationen der Mitarbeitenden hat.
Schutzmassnahmen treffen
Vor zehn Jahren riet man Mitarbeitenden aus Angst vor Computerviren, keine E-Mails fremder Personen zu öffnen. Dieser Ratschlag bringt schon lange nichts mehr, da die Angreifer heute in der Lage sind, E-Mail-Konten zu übernehmen und Absenderadressen zu fälschen. Dieser gut gemeinte Rat wäre auch sonst kaum umsetzbar, denn häufig erhalten HR-Mitarbeitende ungefragt Lebensläufe zugeschickt. Das macht sie zum idealen Ziel für E-Mail-Malware: Drei von vier enthalten Angriffe mit einer infizierten E-Mail und einem Microsoft-Office-Dokument mit einem schädlichen Makro. Das Dokument ist entweder angehängt oder hinter einer URL in der Cloud versteckt. Öffnet jemand dieses, startet das Makro-Skript. Ab diesem Zeitpunkt ist die Malware dann aktiv und kann Daten stehlen oder weiteren Schadcode nachladen.
Es geht aber auch ohne Malware. So nutzte ein Angreifer in Deutschland ein schwaches Passwort, um sich Zugang zu einem E-Mail-Konto zu verschaffen. Per E-Mail überzeugte er die HR-Abteilung, das Lohnkonto zu wechseln, und stahl das Geld. Der fehlende Geldbetrag fiel aber erst einen Monat später auf. Ein guter E-Mail-Filter und eine Anti-Malware-Lösung sind also ratsam. Auch starke Passwörter und Multifaktor-Authentifizierung sind wichtig, um solche Attacken zu verhindern.
Ransomware-Attacken sind eine der beliebtesten Methoden von Cyberkriminellen, um Unternehmen zu erpressen. Dabei werden nicht nur Daten und Systeme verschlüsselt, um das Unternehmen zu blockieren, sondern parallel dazu auch sensitive Daten gestohlen. Häufig schliesst das die Mitarbeitenden-Datenbank mit ein, insbesondere die Gehaltsabrechnungen und andere persönliche Daten. Im vergangenen Jahr publizierten Angreifer vertrauliche Daten von über 2000 Unternehmen im Internet, weil die Firmen kein Lösegeld bezahlen wollten. Solche Datenschutzverletzungen können für Firmen Bussen nach Privacy-Richtlinien wie der DSGVO nach sich ziehen.
Vorfälle minimieren
Eine gutes Awareness Training, das den Menschen als Faktor miteinbezieht, hilft, solche Vorfälle zu minimieren. Mitarbeitende sollten hierzu regelmässig über die aktuellen Gefahren aufgeklärt werden, wie Phishing-E-Mails oder Ransomware. Gerade bei der Arbeit von zu Hause nutzen Mitarbeitende häufig Firmencomputer auch für privates Surfen im Internet. Das erhöht das Risiko, auf einer infizierten Webseite einen Schadcode einzufangen. Einige Unternehmen überwachen deshalb auf den Endgeräten jeden Schritt, um zu verhindern, dass Firmendaten auf ungeschützten USB-Datenträgern landen oder infizierte Geräte im Heimnetz den Firmenrechner übernehmen. Eine solche Kontrolle stellt aber einen Eingriff in die Privatsphäre dar und muss genau abgewogen werden.
Egal wie gross ein Unternehmen ist, es braucht einen wirksamen Schutz gegen Cyberattacken. Ein umfassender Schutz beginnt beim Patchmanagement, also dem Updaten von Softwareapplikationen auf die neueste Version, und starken Passwörtern. Der Schutz mittels E-Mail-Filter und Anti-Malware-Lösung ist unabdingbar, aber auch ein Notfallplan mit Back-up und Disaster Recovery sollte von der IT-Abteilung ausgearbeitet werden.